Cyber-attaques, où en sont les entreprises françaises ? (Etude Provadys-Cesin)
Upcoming SlideShare
Loading in...5
×

Like this? Share it with your network

Share

Cyber-attaques, où en sont les entreprises françaises ? (Etude Provadys-Cesin)

  • 2,195 views
Uploaded on

 

More in: Business
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
    Be the first to like this
No Downloads

Views

Total Views
2,195
On Slideshare
1,410
From Embeds
785
Number of Embeds
6

Actions

Shares
Downloads
54
Comments
0
Likes
0

Embeds 785

http://business.lesechos.fr 684
http://m.business.lesechos.fr 86
https://twitter.com 8
http://gestion-business.lesechos.fr 4
http://www.scoop.it 2
https://www.google.com 1

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. Cyber-attaques, où en sont les entreprises françaises ? réalisé par en collaboration avec le Club des experts de la sécurité de l’information et du numérique
  • 2. sommaire editoriaux ///////////////////////////////////////////////////////////////// méthodologie / profil des répondants /// 1. préparation //////////////////////////////////////////////////////// 4 2.5. Les moyens (techniques et organisationnels) de détection des incidents de type cyber-attaque sont-ils réévalués ?... 26 6 Conclusion : Une nécessaire stratégie de détection .................... 27 10 3. réaction /////////////////////////////////////////////////////////////// 28 1.1. Votre entreprise a-t-elle déjà été affectée par une ou plusieurs crises de type cyber-attaque ?............ 12 3.1. Votre dispositif de crise dispose-t-il d’une cellule de veille et/ou d’outils de veille dédiés à la cyber-attaque ? ................ 30 1.2. Selon vous, quel type de cible votre entreprise est-elle ?... 13 3.2. Disposez-vous d’une équipe dédiée au traitement des incidents de type cyber-attaque ?....................................... 31 1.3. Des tests de pénétration sont-ils réalisés sur vos sites sensibles ? Ces tests intègrent-ils les scénarios de cyber-attaque les plus probables ?............ 14 1.4. Des tests portant sur le niveau de sécurité de vos prestataires sont-ils réalisés ?......................................... 15 1.5. Les plans de réponse à une cyber-attaque de vos fournisseurs sont-ils en cohérence avec les vôtres ?........... 16 3.3. Les moyens (techniques et organisationnels) de détection des incidents de type cyber-attaque sont-ils réévalués ?... 32 Conclusion : Des moyens encore insuffisants ................................ 33 4. récupération ///////////////////////////////////////////////////// 34 1.6. La PSSI de votre entreprise prend-elle en compte le risque spécifique de cyber-attaque ?..................................... 17 4.1. Votre entreprise est-elle équipée d’outils permettant la traçabilité, l’enregistrement, la collecte des traces et preuves de l’agression détectée ? ........................................... 36 1.7. Votre politique de continuité d’activité prend-elle en compte le risque spécifique de cyber-attaque ?.............. 18 4.2. Votre entreprise dispose-t-elle de moyens d’analyse post-mortem des incidents de sécurité ?............. 37 Conclusion : Passer de la théorie à la pratique............................... 19 4.3. Les moyens de récupération suite à une cyber-attaque sont-ils réévalués ?............................................................................ 38 2. détection ///////////////////////////////////////////////////////////// 20 2.1. Les utilisateurs de votre entreprise disposent-ils de moyens de détection et/ou de remontée d’alerte ?........ 22 2.2. Votre entreprise dispose-t-elle d’un SOC ?.............................. 23 Conclusion : Tirer les leçons du passé.............................................. 39 Note sur la sensibilisation des utilisateurs 40 Conclusion générale 41 ////////////////////////////////////////////////// 2.3. Des audits ou des revues de sécurité sont-ils réalisés ?..... 24 2.4. Dans le cadre de la surveillance opérationnelle de la sécurité de vos SI, des investigations sont-elles réalisées ?............... 25 2 /////////////////////////////////////// 3
  • 3. éditoriaux Cyber-attaques, et si on le cadre du Cesin, les entreprises ne sont pas suffisamment préparées, organisées et outillées pour faire face à ces menaces dont elles connaissent pourtant l’existence. agissait Quelques mots sur les cyber-attaques vraiment ? Les cyber-attaques peuvent être caractérisées par l’action directe ou indirecte d’une intelligence malveillante à l’encontre d’un système d’information. Il peut s’agir d’agressions utilisant ou affectant le SI et visant à provoquer des perturbations aux conditions de fonctionnement nominal de l’entreprise ou de ses ressources. Ainsi, nous distinguons bien les cyberattaques des pannes ou erreurs pouvant affecter le SI et provoquer des dysfonctionnements de même nature. L’existence d’une intelligence malveillante implique une intention et un objectif menant aux perturbations. Les cyber-attaques peuvent aussi bien viser les ressources essentielles de l’entreprise que toute ressource ou information pouvant avoir un intérêt pour l’agresseur. D ans nos systèmes d’information (SI) de plus en plus complexes les pannes, défaillances matérielles ou logicielles sont devenues tellement incontournables que toutes les entreprises se sont préparées à y faire face. Elles ont donc admis qu’elles devaient être capables de continuer à fonctionner en dépit de l’occurrence de ces événements. Elles ont également mis en œuvre des moyens permettant d’atteindre de manière plus ou moins complète cet objectif. De manière analogue, les entreprises prennent conscience du caractère quasi inévitable des attaques contre leurs systèmes d’information. Néanmoins, elles demeurent aujourd’hui encore dans une situation où leur niveau de résilience face aux cyber-attaques est préoccupant. En effet, comme le démontre l’étude menée par Provadys dans Luc Delpha, Directeur de l’offre gestion des risques et Sécurité des Systèmes d’Information, Provadys 4 Réduire D le décalage epuis l’incendie du Crédit Lyonnais, il y presque 20 ans, les entreprises sont conscientes qu’il faut se préparer au pire. L’attentat du World Trade Center et l’explosion AZF dix jours plus tard ont confirmé cette absolue nécessité de prévoir la crise et d’en anticiper les effets. Depuis lors les plans de continuité des entreprises se sont étoffés de nouveaux risques à chaque nouvelle alerte avec des probabilités d’occurrence parfois extrêmement faibles (crue centennale, pandémie grippale, etc. ) mais qui ont néanmoins mobilisé beaucoup de moyens logistiques et humains au sein des entreprises. En ce qui concerne la cyber-menace, si tous les professionnels ont admis que la probabilité d’occurrence était extrêmement forte voire certaine dans certains cas (pas un jour sans qu’un cas de cyber attaque réussie ne fasse la Une quelque part dans le monde), force est de constater que les moyens mis en œuvre restent limités comparés aux budgets souvent pharaoniques consacrés à la pré- entre risque et préparation vention de risques moins « certains ». Difficultés de compréhension des enjeux par les décideurs  Complexité des mesures tech? niques et organisationnelles à mettre en œuvre  Manque de concertation des ? acteurs ? Solutions non matures ? Cette étude menée par Provadys dans le cadre des travaux du Cesin donne les tendances en la matière et permet de mesurer le niveau de maturité des grandes entreprises face à cette problématique. Alain Bouillé, Président du Cesin (Club des experts de la sécurité de l’information et du numérique) 5
  • 4. méthodologie présentation des résultats Présentation de la méthodologie de l’étude d’ensemble •  Structure et thématiques Dans le cadre de la réalisation de son livre blanc, Provadys, en partenariat avec le Cesin, a réalisé un sondage auprès de Responsables de la Sécurité des Systèmes d’Information (RSSI) de grandes entreprises françaises et internationales du 6 juin au 12 août 2013. Des questionnaires en ligne et papier ont en effet été diffusés auprès de 140 RSSI. Le questionnaire proposé comportait quarante questions et abordait cinq grandes thématiques : la préparation, la détection, la réaction, la récupération ainsi que la sensibilisation. Le profil des entreprises a également été pris en compte et la synthèse de l’échantillon est présentée ci-dessous. L ’objectif de l’étude réalisée conjointement par le Cesin et Provadys était d’apporter un éclairage sur les actions mises en œuvre dans les entreprises françaises pour se préparer aux attaques, les détecter et y faire face. Il s’agissait de mieux connaitre la situation des entreprises en matière de résilience face aux cyber-attaques. Autant d’interrogations qui semblent légitimes pour les entreprises en France à l’heure où l’on parle de cyber-guerre ou de cyber-terrorisme ou encore de cybercriminalité et qu’au niveau des états des moyens tendent à se mettre en place pour adresser ces thématiques. Présentation de l’étude •  Synthèse de l’échantillon 73 RSSI ont répondu au questionnaire, soit une participation significative de 52 %. Parmi les entreprises ayant répondu au questionnaire, 87 % sont de très grande taille (plus de 500 collaborateurs). Notre enquête reflète donc principalement les préoccupations des gran­des entreprises. Ce livre blanc présente les enseignements qui peuvent être tirés de l’étude ainsi que des pistes de réflexion qui pourraient être explorées par les entreprises dans la perspective des cyber-attaques qui pourraient les affecter dans le futur. 6 Dans quel secteur d’activité votre entreprise se situe-t-elle ? D’un point de vue secteur d’activité, le panel des entreprises ayant participé et répondu au sondage est équilibré : elles sont 25 % à faire partie du secteur Industrie ; 23 % du secteur Banque/Assurance et 16 % du secteur Administration (Public). Santé, Services média, télécoms 12% eau 1% énergie 4% industrie 25% grande distribution 8% Transport 5% Administration (public) 16% autres 10% banque 11% assurance 12% 7
  • 5. méthodologie secret industriel PP CFONB OEA ISI 1300 IGI 66000 CPSS IOSCO CNIL ARAF ANSII ACP pas de réponse secret défense Bale 2 AMF CRBF 97-02 Autres Arjel Solvency 2 RGS LSF SOX Secret médical PCI DSS NON Votre entreprise est-elle soumise aux normes, lois ou règlements ? 1% Quels types de données votre entreprise manipule t-elle ? Par ailleurs, 96 % des entreprises déclarent manipuler des données à caractère personnel alors que seulement 1 % déclare être soumise à la réglementation CNIL. De la même manière 36 % déclarent traiter des données de santé alors que 22 % d’entre elles déclarent être soumises au secret médical. Les entreprises ne sont pas conscientes des réglementations auxquelles elles sont soumises au regard des données qu’elles manipulent. Or toutes les données gérées par les entreprises peuvent être des cibles pouvant intéresser des agresseurs potentiels. Les cyber-attaques peu­ ent viser ces données. Les stratégies de v cyber-défense des entreprises doivent intégrer la protection de ces données. 3% 4% données à caractère personnel 5% 96% 8% 16% données de santé 22% 25% 22% En termes de réglementation, 25 % sont soumises à PCI DSS ; 22 % sont soumises au secret médical et 22 % ne sont soumises à aucune réglementation. Les aspects réglementation ne sont pas suffisamment pris en compte par les entreprises (CNIL et secret médical). Au moins 22 % ne connaissent pas bien leur environnement de conformité et de ce fait ne peuvent pas mettre en œuvre des mesures cohérentes en conformité avec la loi. De la même manière, le secret médical est une obligation légale dès lors que les entreprises manipulent des données médicales. Les entreprises doivent être conscientes des données qu’elles manipulent. 8 46% secrets industriels 10% 36% données classifiées (défense) 32% données de cartes de paiement Autres : données... 25% 4% 9
  • 6. analyse préparation Comment les entreprises se préparent-elles aux cyber-attaques  et à quel niveau ? L Chapitre 1 préparation 10 maturité face à cette thématique : elles ne disposent pas de cartographie SI organisée selon le niveau d’exposition au risque de cyber-attaque, elles ne connaissent pas les plans de réponse à une cyber-attaque de leurs fournisseurs de services essentiels et ne réalisent pas de suivi et de mise à jour régulière de leur niveau d’exposition à ce risque. es entreprises sondées dans le cadre de notre étude ont conscience de leurs vulnérabilités et de leurs faiblesses face au scénario de cyber-attaque. Elles sont, dans la théorie, préparées à ce risque. En effet, elles intègrent ce scénario dans leur processus de gestion de crise et mettent en place des moyens spécifiques et dédiés à la prise en compte de cette menace. Par ailleurs, pour renforcer leur volonté de se préparer face au risque de cyber-attaque, elles s’investissent dans la réalisation de tests de pénétration et d’intrusion sur leurs sites les plus sensibles ; et intègrent dans ces mêmes tests le scénario de cyber-attaque. Cependant, ces entreprises manquent de 11
  • 7. analyse préparation Votre entreprise a-t-elle déjà été affectée par une ou plusieurs crises de type cyber-attaque ? pas de réponse 3% Ne sait pas 12% Les entreprises interrogées dans le cadre de notre étude sont conscientes que les cyberattaques existent. En effet, plus de la moitié d’entre elles - 52  % reconnait avoir été affectées au moins une fois par une crise de ce type dans les trois dernières années. Néanmoins, ce chiffre est très certainement bien supérieur puisque nous constatons que 12  des % entreprises ne sont pas en mesure de définir si elles ont déjà été victimes d’une crise de ce type. Or, il est connu que certaines attaques ne sont détectées que très tardivement voire jamais détectées. oui 52% NON 33% 12 Selon vous, quel type de cible votre entreprise est-elle ? pas une cible 11% pas de réponse 1% une cible d’attaque ciblée et opportuniste 37% Par ailleurs, cette prise de cons­ ience c est renforcée par le fait que 88 % des entreprises se considèrent comme des cibles d’attaque potentielles. Elles sont donc bien conscientes de la probabilité d’une attaque les affectant. Une cible potentielle d’attaque ciblée 25% Une cible potentielle d’attaque opportuniste 26% P our autant, seulement 60 % des entreprises ont identifié et anticipé les scénarios de type cyber-attaque dans leurs processus et dispositifs de continuité. De la même manière, seulement 63 % d’entre elles ont mis en place des moyens spécifiques et dédiés à la prise en compte des cyber-attaques ; et 68  de ces entreprises % intègrent le scénario de cyber-attaque dans leurs analyses de risques. 13
  • 8. analyse préparation Des tests de pénétration sont–ils réalisés sur vos sites les plus sensibles ? Face à ce risque marqué, les entreprises ont également pris conscience de l’importance d’évaluer et de tester le niveau de sécurité de leurs SI. En effet, 96  des entreprises % déclarent réaliser des tests de pénétration et d’intrusion sur leurs sites les plus sensibles. Ces tests intègrent-ils les scénarios de cyber-attaque les plus probables ? Oui, une fois par mois 9% non 4% oui, De temps en temps 3% oui, une fois par an 48% autres 10% Des tests portant sur le niveau de sécurité de vos prestataires (hébergeurs, Infogérants, etc.) sont-ils réalisés? Dans le cadre de leur préparation, les entreprises doivent également intégrer le fait qu’elles peuvent être attaquées à travers leurs prestataires. Pourtant, l’importance des conséquences de cyber-attaques visant les fournisseurs de services de ces entreprises n’est pas bien prise en compte puisque 42 % des entreprises déclarent ne pas réaliser de tests portant sur le niveau de sécurité auprès de leurs prestataires. . oui, tous les deux à trois mois 11% N/A 6% pas de réponse 3% oui, tous les deux ans 15% Non 8% pas de réponse 3% N/A 8% 81 % d’entre elles intègrent également dans ces tests de pénétration et d’intrusion les scénarios de cyber-attaque ; alors que 60 % d’entre elles ont identifié et anticipé les scénarios de type cyber-attaque dans leurs processus et dispositifs de continuité. oui 49% non 42% oui 81% 14 15
  • 9. analyse préparation Les plans de réponse à une cyber-attaque de vos fournisseurs de services essentiels sont-ils connus et mis en cohérence avec les vôtres ? n/a 8% pas de réponse 1% Le risque spécifique de cyber-attaque n’est pas suffisamment pris en compte dans les politiques de sécurité des systèmes d’information (PSSI). En effet, 45 % entreprises déclarent ne pas disposer d’une PSSI définie et prenant en compte ce risque spécifique. Les Directions Générales n’ont pas encore pleinement conscience de la dimension spécifique des risques associés aux cyber-attaques auxquels leurs entreprises sont exposées. Par ailleurs, le lien entre les dispositifs de continuité d’activité et les dispositifs de lutte contre les cyber-attaques peut encore être renforcé : 54 % des entreprises ne disposent pas de politique de continuité d’activité intégrant ce risque alors que 88 % d’entre elles se considèrent comme des cibles potentielles d’attaque. Faut-il y voir le signe que les entreprises interrogées ne voient pas dans les cyber-attaques des sources potentielles de chocs extrêmes pour leurs activités ? oui 10% ne sait pas 18% La PSSI de votre entreprise prend-elle en compte le risque spécifique de cyber-attaque ? non 63% pas de réponse 4% Les entreprises ne prennent pas suffisamment en compte les risques directs de cyber-attaques sur leurs fournisseurs de services essentiels : les plans de réponses des fournisseurs restent également méconnus et ne sont pas en cohérence avec leurs propres plans de réponses. En effet, seulement 10 % des entreprises déclarent connaître les plans de réponse à une cyber-attaque de leurs fournisseurs de services essentiels. Le risque émanant des fournisseurs de services n’est donc pas suffisamment connu des entreprises ni pris en compte par celles-ci. Les entreprises se préparent également au risque de cyber-attaque en identifiant les cibles potentielles au sein de leur SI. Cependant, il apparait que 27 % des entreprises ne sont pas organisées pour protéger les cibles les plus exposées et menacées par ce type d’attaque. Par ailleurs, le risque de cyber-attaque n’est pas suffisamment pris en compte au niveau des composants sensibles des SI : seules 26  des entreprises déclarent disposer % d’une cartographie SI organisée selon le niveau d’exposition à ce risque. Ceci met en avant un défaut de maturité dans la préparation des entreprises. En effet, leur défense ne peut être assurée et organisée de manière optimale si cette cartographie n’existe pas. 16 non 45% oui 51% 17
  • 10. analyse préparation La politique de continuité d’activité de votre entreprise prend-elle en compte le risque spécifique de cyber-attaque ? non 54% Par ailleurs, le lien entre les dispositifs de continuité d’activité et les dispositifs de lutte contre les cyberattaques peut encore être renforcé : 54 % des entreprises ne disposent pas de politique de continuité d’activité intégrant le risque de cyber-attaque alors que 88 % d’entre elles se considèrent comme des cibles potentielles d’attaque. Faut-il y voir le signe que les entreprises interrogées ne voient pas dans les cyber-attaques des sources potentielles de chocs extrêmes pour leurs activités ? Enfin, la moitié des entreprises ne réalisent pas de suivi et de mise à jour régulière de leur niveau d’exposition au risque de cyber-attaque. Elles manquent encore de maturité sur le risque de cyber-attaque. Ceci signifie également que pour la moitié des entreprises, il n’est pas possible de garantir dans le temps la pertinence de leur niveau d’exposition. 18 passer de L ne sait pas 4% N/A 8% oui 34% conclusion es entreprises savent que la menace existe et est réelle. Elles ont en immense majorité réalisé une préparation théorique plutôt aboutie. Cela se manifeste en particulier à travers l’intégration du scénario de cyber-attaque dans les processus de gestion de crise et la mise en œuvre de moyens spécifiques dédiés à la prise en compte de cette menace. Elles réalisent également pour la plupart des tests d’intrusion sur leurs ressources les plus sensibles en y intégrant le scénario de cyberattaque. Néanmoins, les entreprises doivent encore aller au-delà de la préparation théorique. Aller plus loin dans le domaine de la préparation consisterait à : •  Challenger la préparation théorique •  Aller jusqu’à une préparation pratique et concrète intégrant les entités avec lesquelles elles sont en interaction •  Mettre en place un entrainement spécifique visant à valider par des mises en pratique régulières de l’ensemble des travaux réalisés en préparation. la théorie à la pratique Les tests d’intrusion dans leur approche classique challengent les mesures préventives mises en œuvre mais ne permettent pas aux entreprises de prendre en compte les autres types de mesures mises en œuvre pour faire face aux cyber-attaques (mesures de détection, réaction, récupération). Ils doivent donc être complétés par d’autres activités permettant à l’entreprise de s’entrainer à réagir aux situations particulières créées par ces attaques. Enfin, pour les entreprises particulièrement dépendantes de leur SI, il conviendrait d’envisager les cyber-attaques comme des sources potentielles de crises graves pouvant affecter la continuité de leur activité. 19
  • 11. analyse détection Quelles sont les actions mises en place par les entreprises pour détecter une cyber-attaque ? Chapitre 2 détection 20 P De la même manière, les utilisateurs ne sont à ce jour pas suffisamment impliqués dans les stratégies et moyens de détection. Il en résulte que les capacités de détection de ces attaques sont sous optimales sur plusieurs points. our se protéger et être en mesure de faire face à une crise de cyber-attaque, les entreprises disposent aujourd’hui d’outils techniques orientés détection des attaques. Pourtant, l’étude démontre que ces outils ne sont pas utilisés à leur plein potentiel. En effet, ces outils ne sont pas régulièrement réévalués en termes d’efficacité et ne gagnent donc pas suffisamment en maturité. 21
  • 12. analyse détection pas de réponse 1% non 52% Les utilisateurs de votre entreprise, disposent-ils, à leur niveau, de moyens de détection et/ou de remontée d’alerte ? Les utilisateurs au sein des entreprises ne sont pas suffisamment équipés en moyens de détection et/ou de remontée d’alerte. En effet, seulement 47  des % entreprises déclarent disposer de moyens de détection et/ou de remontée d’alerte au niveau utilisateurs. oui 47% devoir de réserve Autres* 1% 8% Votre entreprise dispose-t-elle d’un SOC (Information Security Operations Center) ? pas de réponse 7% oui 23% non 70% Votre entreprise a-t-elle mis en place des outils de type : détection des apt corrélation et automatisation de l’analyse des logs siem 21% 44% 45% 63% ids ips 15% Non** *Supervision, analyse des flux sortants,etc. 67% Les entreprises disposent aujourd’hui d’outils techniques de détection : 41% ont mis en place au moins deux outils orientés détection des attaques. ** Aucun outil de détection mis en œuvre 22 En revanche 15% des entreprises déclarent ne posséder aucun outil de sécurité des SI. Elles seraient donc en incapacité de détecter une cyber-attaque. De la même manière, la grande majorité des entreprises -70%- ne dispose pas de SOC alors que 88% d’entre elles se déclarent comme des cibles potentielles de cyber-attaque. Comment dès lors envisager une détection satisfaisante des cyber-attaques sans une approche opérationnelle de la SSI intégrant un suivi permanent et outillé des événements affectant le SI ? 23
  • 13. analyse détection Des audits ou des revues de sécurité sont-ils réalisés ? La grande majorité des entreprises - 62 % - réalisent des audits ou des revues de sécurité (tous les six mois ou tous les ans) leur permettant ainsi de faire évoluer leurs dispositifs et moyens de détection. En effet, elles ne sont que 4 % à ne réaliser aucun audit ou revue de sécurité Dans le cadre de la surveillance opérationnelle de la sécurité de vos systèmes d’information, des investigations sont-elles réalisées ? De la même manière, 95% des entreprises déclarent réaliser des investigations dans le cadre de la surveillance opérationnelle de la sécurité de leur SI. Cependant, les investigations après chaque anomalie détectée ne sont pas systématiques et leur fréquence dépend du type et de la nature des anomalies constatées. Non communiqué 3% non 4% Oui, tous les trois ans 1% Oui, ponctuellement 4% oui, selon la nature de l’anomalie 5% non communiqué 1% non 4% oui, selon la disponibilité de l’équipe 1% oui, variable 7% oui, uniquement sur les anomalies affectant la confidentialité des informations 10% oui, tous les ans 45% oui, tous les six mois 17% oui, pour toutes les anomalies détectées 32% oui, uniquement sur les anomalies affectant la disponibilité système 22% oui, pour toutes les anomalies touchant les systèmes les plus sensibles 25% oui, tous les deux ans 19% 24 25
  • 14. analyse détection Les moyens (techniques et organisationnels) de détection des incidents de type cyberattaque sont-ils réévalués ? Enfin, une fois mis en place, les moyens de détection des incidents de type cyber-attaque ne font pas l’objet de réévaluation régulière. En effet, alors que 62 % des entreprises réalisent des audits et des revues de sécurité régulièrement, 42 % des entreprises déclarent ne pas réévaluer leurs moyens de détection des incidents de type cyber-attaque. Ils ne gagnent donc pas en efficacité et en maturité. Oui, après audit 3% Non communiqué 1% oui, variable 4% Oui, Tous les deux ans 5% oui, après les testS 6% oui, tous les ans 14% non 42% conclusion une nécessaire L es entreprises ont bien compris qu’elles doivent se protéger face aux cyberattaques et disposer de moyens de détections. C’est effectivement le cas de la grande majorité de notre panel. Cependant, elles peinent à rester en cohérence et assurer une bonne prise en compte des menaces liées à ces attaques. Elles rencontrent aujourd’hui des difficultés à régulièrement évaluer, mettre à jour et améliorer leur outillage afin de gagner en maturité et en efficacité. Elles doivent encore développer une stratégie de détection et de remontées d’alerte au niveau utilisateurs. En effet, ceux-ci représentent la première cible des cyber-pirates. Ils doivent donc être en mesure de détecter et de remonter l’alerte en cas d’attaque. stratégie de détection oui, après incident 25% 26 27
  • 15. analyse réaction Comment réagissent les entreprises une fois attaquées ? Chapitre 3 réaction 28 D notification en cas de cyber-attaque. Enfin, pour les entreprises disposant de moyens de réaction, la moitié d’entre elles ne procèdent pas à une réévaluation de leurs moyens de réaction face à une telle attaque. ’un point de vue ressources humaines, les entreprises ne sont pas suffisamment matures dans leurs moyens de réaction. En effet, elles ne disposent pas d’équipe dédiée et/ou en charge du traitement des incidents de type cyber-attaque ; ni de cellule et/ou d’outils de veille dédiés à la cyber-attaque. Elles ne disposent pas non plus d’experts spécialisés dans le traitement de ce type d’attaque. D’un point de vue pratique ou opérationnel, les entreprises du panel n’ont pas défini formellement de processus et/ou de moyen de 29
  • 16. analyse réaction Votre dispositif de crise dispose-t-il d’une cellule de veille et/ou d’outils de veille dédiés à la cyber-attaque ? Disposez-vous d’une équipe dédiée au traitement des incidents de type Cyber-attaque ? D’un point de vue ressources humaines, les entreprises ne sont pas suffisamment matures dans leurs moyens de réaction : • 81% ne disposent pas d’équipe dédiée et/ou en charge du traitement des incidents de type cyber-attaque. • 60% des entreprises déclarent ne pas disposer de cellule et/ou d’outils de veille dédiés à la cyber-attaque • 48% des entreprises déclarent ne pas disposer d’experts spécialisés dans le traitement d’une cyber-attaque • oui, expertise interne 1% • oui, XMCO 1% • oui, Vulnérabilités/ remédiations 1% • ne sait pas 1% oui, en cours de création 2% Oui 19% oui, à la maison mère 2% oui, CERT 14% Non, aucune équipe en charge 19% non, pas d’équipes dédiées 62% oui 18% D non 60% 30 pas avoir défini de processus et/ou de moyen de notification en cas de cyber-attaque. Or, ces points devraient être formalisés en priorité (notification des autorités compétentes ou des personnes affectées par les conséquences d’une cyber-attaque). ’un point de vue pratique, les entreprises ne sont pas encore suffisamment matures : les processus et/ou moyens de notification en cas de cyberattaque ne sont pas suffisamment formalisés. En effet, 57% des entreprises déclarent ne 31
  • 17. analyse analyse réaction Les moyens (techniques et organisationnels) de réaction aux crises de type cyber-attaque sont-ils réévalués ? Une fois mis en place, les moyens de réaction des incidents de type cyber-attaque ne font pas l’objet de réévaluation régulière ; ce qui ne leur permet pas de gagner en maturité. En effet, parmi les 52% qui déclarent avoir subi une cyber-attaque ces deux dernières années, seulement 30% d’entre elles mettent en place des moyens de réaction et les réévaluent. La réévaluation reste donc faible pour les entreprises ayant déjà été impactées par une cyber-attaque. • oui, tous les deux ans 1% • oui, irrégulièrement 1% • confidentiel 1% • pas de réponse 1% oui 6% non 44% oui, après les tests 7% oui, tous les ans 17% conclusion P our assurer une capacité de réaction suffisamment dimensionnée et opérationnelle face au risque de cyberattaques auquel elles sont exposées, les entreprises doivent encore développer leurs dispositifs et leurs moyens de réaction d’un point de vue ressources humaines. En effet, les processus de gestion de crise doivent être formalisées et intégrer une équipe dédiée et en charge du traitement des incidents de cyber-attaques. Elles doivent également pouvoir faire appel le cas échéant à des experts spécialisés dans ce type de traitement mais aussi s’appuyer sur des outils de veille dédiés. D’un point de vue communication, les entreprises doivent, en cas de cyber-attaque, pouvoir être en capacité de notifier les autorités compétentes mais aussi les personnes affectées par les conséquences d’une telle Des moyens encore insuffisants attaque. Il est troublant de constater que peu d’entreprises disposent dans leurs procédures de réaction des numéros de téléphones des forces de l’ordre à contacter en cas d’attaque touchant leurs SI. Enfin, pour assurer une cohérence et une fiabilité dans leurs moyens de réaction, les entreprises devraient procéder régulièrement à des réévaluations de leurs outils et moyens de réaction. oui, après incident 18% 32 33
  • 18. analyse récupération QUELS MOYENS LES ENTREPRISES METTENT-ELLES EN PLACE POUR RÉPARER LES CONSEQUENCES D’UNE CYBER-ATTAQUE ? A Chapitre 4 récupération 34 des incidents de sécurité. Enfin, la plupart des entreprises disposant de moyens de récupération procèdent à une réévaluation régulière de leurs moyens de récupération suite à une cyber-attaque u sein des entreprises, la probabilité d’occurrence d’une agression de type cyber-attaque est très élevée à moyen terme ; pourtant une grande majorité des entreprises ne définissent pas de processus permettant de prendre en compte les aspects juridique et assurance suite à une cyber-attaque. De la même manière, elles ne disposent pas suffisamment d’outils permettant la traçabilité, l’enregistrement, la collecte des traces et preuves de l’agression détectée. Cependant, elles sont une grande majorité à disposer de moyens d’analyse post-mortem 35
  • 19. analyse récupération Votre entreprise est-elle équipée d’outils permettant la traçabilité, l’enregistrement, la collecte des traces et preuves de l’agression détectée ? pas de réponse 4% oui 64% NON 32% Votre entreprise dispose-t-elle de moyens d’analyse post-mortem des incidents de sécurité (inforensic) ? La probabilité d’occurrence d’une cyber-attaque est très élevée à moyen terme ; pourtant, très peu d’entre elles disposent d’outils permettant la traçabilité, l’enregistrement, la collecte des traces et preuves de l’agression détectée. Pour 32% d’entre elles, il sera très difficile de récupérer d’une cyberattaque et/ou de tirer les enseignements qui permettront de prévenir une nouvelle attaque du même type. De la même manière, la grande majorité des entreprises n’a pas encore formalisé les processus permettant de prendre en compte les aspects juridique et assurance suite à une cyber-attaque. En effet, 60% déclarent ne pas avoir défini les processus permettant de prendre en compte les aspects juridique et assurance suite à une cyber-attaque. Ces entreprises seront donc dans l’incapacité de porter plainte et/ou de tenter de récupérer une part du préjudice via une assurance Plus du tiers des entreprises n’est pas préparé/équipé pour analyser les incidents post-mortem et ainsi : •  omprendre ce qui se passe ou qui s’est passé C •  valuer l’étendue des dégâts et les informations perdues / compromises E •  apitaliser / progresser et prévenir les futures attaques C Le risque pour l’entreprise est alors de ne pas identifier la faille de sécurité (root cause) et maintenir ainsi la possibilité d’une nouvelle attaque, les mêmes causes ayant les mêmes effets. pas de réponse 3% Oui, en interne 33% non 34% oui, contractualisés en externe 30% 36 37
  • 20. analyse récupération Les moyens (techniques et organisationnels) de récupération suite à une cyber-attaque sont-ils réévalués ? Enfin, une fois mis en place, les moyens de récupération des incidents de type cyber-attaque ne font pas l’objet de réévaluation régulière. 47% des entreprises déclarent réévaluer régulièrement leurs moyens de récupération suite à une cyber-attaque Ces moyens peuvent alors devenir inadaptés et inefficaces face à des attaques et des menaces qui évoluent rapidement. oui, tous les deux ans 3% ne sait pas Non communiqué 1% 2% pas de réponse 1% oui, après les tests 7% non 49% oui, après incident 25% 38 t i r e r les leçons dupassé L oui 6% oui, tous les ans 8% conclusion es moyens et outils de récupération suite à une cyber-attaque restent le parent pauvre de la grande majorité des entreprises. Des solutions émergent actuellement pour permettre de transférer vers des assureurs une part du risque et accroitre la capacité des entreprises à faire face aux conséquences potentielles de ces attaques. En particulier, les frais éventuels de reconstruction de données, de remise en sécurité de systèmes ou de notification aux utilisateurs dont les données auraient été compromises peuvent être intégrés dans les indemnisations. En parallèle, les entreprises doivent s’équiper et s’organiser pour tirer le maximum d’information des attaques dont elles sont victimes afin de se mettre en capacité d’éviter qu’elles puissent se reproduire. Ainsi, la capacité à fournir des informations permettant de poursuivre les auteurs des agressions informatiques doit aussi être renforcée afin que les forces de l’ordre et la justice puissent jouer pleinement leur rôle. Les entreprises doivent donc investir dans des outils de traçabilité, mettre en place des moyens humains internes ou externes spécialisés en analyse des incidents de sécurité et enfin cultiver le réflexe d’avoir recours aux autorités compétentes en cas d’attaque de leurs systèmes d’information. 39
  • 21. analyse Ainsi, pour augmenter leur résilience aux cyber-attaques les entreprises doivent prendre en considération et former leurs utilisateurs à tous les rôles qu’ils peuvent jouer dans les domaines suivants : •  Prévention des attaques •  Détection des attaques •  Réaction aux attaques Au-delà, de la sensibilisation il conviendra d’entrainer les utilisateurs en leur donnant l’occasion de mettre en pratique les réflexes et comportements que l’entreprise souhaite développer pour optimiser sa résilience face aux cyber-attaques. note sur la sensibilisation des utilisateurs L es nouvelles attaques ou attaques avancées font pour la plupart intervenir des scénarios où les utilisateurs sont ciblés. Il devient crucial pour les entreprises confrontées au risque de cyber-attaque d’intégrer tous les utilisateurs dans les dispositifs de lutte. Il s’agit de passer d’un modèle où l’objectif était d’éduquer les utilisateurs afin qu’ils puissent jouer un rôle passif dans la sécurité de SI à un modèle où leur rôle doit devenir actif en tant que ligne de défense du SI. Les programmes de sensibilisation qui jusqu’alors se contentait de donner aux utilisateurs les clés pour ne pas avoir de comportements à risques doit maintenant les amener à intégrer des réflexes d’autodéfense appliqués au SI avec lequel ils travaillent. conclusion générale I l est temps de passer de la théorie à la pratique régulière !!! Et de la ligne Maginot à une défense en profondeur agile et adaptative. L’étude démontre que l’étape de prise de conscience a été réalisée par les entreprises en France. Les cyber-attaques sont donc bien présentes dans le catalogue des sujets 40 temps réel les moyens de détection et de réaction afin de protéger les ressources essentielles de l’entreprise pour lui permettre de poursuivre son activité. Elles devront également s’entrainer à faire face aux conséquences de ces attaques en répétant les scénarios les plus redoutés. Certaines grandes entreprises, trop rares encore selon les chiffres de l’étude, sont allées au bout de la démarche, fortes de leurs douloureuses expériences des attaques passées. Elles disposent aujourd’hui de moyens de détection, de réaction et de récupération testés et tenus à jour. Elles ne doivent pourtant pas faire oublier le fait que la situation déjà alarmante mise en évidence par l’étude est certainement plus préoccupante pour les PME ou les ETI qui sont beaucoup moins matures que les entreprises représentées par le panel. à adresser. Néanmoins, il reste encore de nombreuses étapes à franchir pour beaucoup d’entreprises avant de pouvoir garantir un niveau optimal de résilience face aux cyber-attaques. Leur préparation reste théorique et les organisations aussi bien que les équipes ne sont pas outillées ou entrainées opérationnellement pour y faire face. Des moyens existent, des investissements et des travaux ont été réalisés mais l’efficacité de tous ces éléments n’est pas évaluée régulièrement afin qu’ils puissent être ajustés. Il semble que le PDCA si familier des RSSI et Risk Manager ne soit pas encore appliqué à sa juste mesure pour ce qui est de la thématique de la gestion des cyber-attaques. Un effort assez important doit se faire au niveau des entreprises afin de sortir définitivement d’un modèle de défense axé sur les mesures dissuasives ou préventives et basculer vers un modèle beaucoup plus versatile qui seul pourra permettre le développement de la résilience face aux cyber-attaques. Ainsi, les entreprises doivent elles envisager d’entrainer leurs équipes à identifier les signes d’une attaque en cours et à faire évoluer en 41
  • 22. 150 rue Gallieni – 92100 Boulogne-Billancourt +33(0)1 46  99  93  80 – @ Provadys – www.provadys.com